Die Täuschungsdelikte „Fake President“, Besteller- („Fake Identity“) und Zahlungsbetrug („Payment Diversion“) machen Unternehmen immer häufiger zu schaffen. Bei deutschen Firmen sowie deren ausländischen Töchtern verursachten diese seit 2014 Schäden von über 190 Millionen Euro. Dies ergaben Analysen des Kreditversicherers Euler Hermes.
Ein Fake-President-Betrug erfordert relativ viel strategische Planung sowie eine zeitintensive Vorbereitung, beispielsweise zum Ausspähen der Gepflogenheiten. Zudem müssen die Täter fit sein im „Social Engineering“, um die Mitarbeiter dazu zu bringen, die gewünschten Zahlungen zu veranlassen und dies gleichzeitig geheim halten.
Geringe Beträge, aber dafür ratzfatz
„Um Zahlungsströme umzuleiten oder eine abweichende Lieferadresse anzugeben, reicht in der Regel jedoch eine kurze E-Mail aus“, sagt Ron van het Hof, CEO von Euler Hermes in Deutschland, Österreich und der Schweiz. „Die Beträge sind zwar meist geringer, aber dafür geht es ratzfatz.“
Beim Bestellerbetrug geben sich Hacker als Kunden aus. Sie lösen eine Bestellung aus und geben dann per E-Mail eine abweichende Lieferadresse für eine Bestellung an. So werden zum Beispiel Schuhe zu einem leerstehenden Gebäude geordert, die Rechnung geht an den bestehenden Kunden. Da dieser die Ware nie bestellt und vor allem auch nicht erhalten hat, bezahlt er die Rechnung nicht.
Erst der Mahnlauf deckt den Betrug auf
„Der Betrug kommt in der Regel erst mit dem Mahnlauf ans Licht – also je nach Zahlungsziel mehrere Wochen später. Bis dahin sind die Betrüger mit der Beute allerdings längst über alle Berge“, sagt Rüdiger Kirsch, Betrugsexperte bei Euler Hermes. „Die Fallzahlen sind bei beiden Täuschungsdelikten zuletzt stark gestiegen.“
Die Ware oder das Geld sind weg und im schlimmsten Fall ist die Bilanz ruiniert – meist auch dann, wenn das Unternehmen eine Cyber- oder Warenkreditversicherung hat.
„Eine Warenkreditversicherung sichert gegen Zahlungsausfälle der Abnehmer – allerdings nur bei echten Unternehmen, wenn diese zum Beispiel insolvent sind. Auf einen Betrüger kann ich jedoch kein Versicherungslimit haben“, sagt Kirsch. „Wenn also ein Betrug zugrunde liegt und sich ein Hacker für ein Unternehmen ausgibt, die Ware an eine andere Adresse liefern lässt und dadurch ein finanzieller Schaden entsteht, ist dies kein Fall für die reguläre Warenkreditversicherung, sondern für eine Vertrauensschadenversicherung.“
Wann die Vertrauensschadenversicherung leistet
Die Vertrauensschadenversicherung versichert primär gegen zielgerichtete, kriminelle Handlungen gegen ein Unternehmen. Unerlaubte Handlungen wie Betrug oder Veruntreuung durch die eigenen Mitarbeiter sowie durch externe Dritte – insbesondere Hacker – stehen bei der VSV im Vordergrund. Entsprechend sind finanzielle Schäden durch Fake President, Besteller- oder Zahlungsbetrug ebenso versichert wie Phishing, Keylogging oder „Man in the middle“ und „Man in the cloud“.
Welche Betrugsmaschen es gibt und wie bei diesen vorgegangen wird
Fake President / Chefbetrug / CEO Fraud
Vortäuschung einer falschen Identität: Der Betrüger gibt sich als CEO eines Unternehmens aus und veranlasst mittels „Social Engineering“ (zum Beispiel durch besondere Wertschätzung sowie strenge Geheimhaltung und Druckausübung) Mitarbeiter (meist per E-Mail), Zahlungen zu tätigen, meist für als sehr dringend deklarierte, streng vertrauliche Unternehmenskäufe im Ausland.
Fake Identity / Bestellerbetrug
Vortäuschung einer falschen Identität: Der Betrüger gibt sich als Kunde aus (oft als bestehender) bestellt Waren und lässt diese anschließend an eine abweichende Lieferadresse senden.
Payment Diversion / Zahlungsbetrug
Vortäuschung einer falschen Identität: Der Betrüger gibt sich für einen Lieferanten aus und gibt eine abweichende Kontoverbindung durch für die Bezahlung der bereits erfolgten Lieferung.
Phishing
Der Betrüger versendet gefälschte E-Mails an Mitarbeiter eines Unternehmens zu reellen Themen. Ziel ist es, über den Link in der E-Mail Trojaner oder Keylogger einzuschleusen, um an sensible Unternehmensdaten zu gelangen.
Keylogging
Der Betrüger schleust eine Software ins System ein, die Anmeldedaten und Passwörter aufzeichnet und speichert, zum Beispiel von Kontodaten, Cloud- oder Serverzugängen.
Man in the middle
Der Betrüger hackt sich in die Kommunikation zwischen zwei Kommunikationspartnern ein und besitzt so Zugriff auf den Datenverkehr. Er kann diese Daten einsehen und zu seinen Zwecken beliebig manipulieren.
Man in the cloud
Der Betrüger hackt sich in eine Cloud, in der Unternehmensdaten ausgelagert sind (zum Beispiel durch Keylogging) und kann diese Daten einsehen und beliebig manipulieren oder löschen beziehungsweise Schadsoftware einschleusen.
Quelle: Euler Hermes
Autor(en): Versicherungsmagazin